Kaspersky Orta Doğu, Türkiye ve Afrika’yı hedef alan yeni bir arka kapı keşfetti

Kaspersky uzmanları, Microsoft tarafından düzenlenen tanınan bir web sunucusu olan Internet Information Services (IIS) içine makûs hedefli bir modül olarak yerleşen, yeni tespit ettiği SessionManager art kapısını gün ışığına çıkardı. SessionManager sisteme bulaşmasının akabinde e-posta toplamaktan kurbanın altyapısı üzerinde tam denetim sağlamaya kadar çok çeşitli makûs gayeli etkinliklere imkan tanıyor. Birinci olarak Mart 2021’in sonlarında keşfedilen art kapı Kuveyt, Suudi Arabistan, Nijerya, Kenya ve Türkiye dahil olmak üzere Orta Doğu, Türkiye ve Afrika bölgesinden sekiz ülkede hükümet kurumlarını ve sivil toplum kuruluşlarını hedefliyor.

Aralık 2021’de Kaspersky, bir kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan, evvelce bilinmeyen bir IIS modülü olan “Owowa”yı ortaya çıkardı. O vakitten beri, şirketin uzmanları siber cürüm faaliyeti için yeni fırsatları takibe aldılar. Bu sırada IIS içine dağıtmak üzere bir art kapı yerleştirmenin, daha evvel Microsoft Exchange içindeki “ProxyLogon tipi” güvenlik açıklarından birini kullanan tehdit aktörleri için yeni bir eğilim olduğu ortaya çıktı. Yakın vakitte yaptıkları bir araştırma sırasında Kaspersky uzmanları, SessionManager isimli yeni bir art kapı modülüyle karşılaştı.

SessionManager art kapısı, tehdit aktörlerinin hedeflenen kuruluşun BT altyapısına kalıcı, güncellemeye sağlam ve hayli kapalı erişim sağlamasına yol açıyor. Kurbanın sistemine bir defa girdikten sonra art kapıyı kullanan siber hatalılar, şirket e-postalarına erişebiliyor, başka berbat gayeli yazılımları yükleyerek daha fazla makus hedefli erişimi güncelleyebiliyor yahut makus hedefli altyapı olarak kullanılabilecekleri, güvenliği ihlal edilmiş sunucuları gizlice yönetebiliyor.

SessionManager’ın ayırt edici bir özelliği zayıf algılama oranı. Birinci olarak 2022’nin başlarında Kaspersky araştırmacıları tarafından keşfedilen kimi art kapı örnekleri, en tanınan çevrimiçi belge tarama hizmetlerinde hala makus maksatlı olarak işaretlenmiyor. Üstelik SessionManager hedeflenen kuruluşların 91’inden fazlasında konuşlandırılmış durumda.

Genel olarak Avrupa, Orta Doğu, Güney Asya ve Afrika’dan 24 kuruluşun 34 sunucusu SessionManager tarafından ele geçirildi. SessionManager’ı işleten tehdit aktörü STK’lara ve devlet kurumlarına özel bir ilgi gösteriyor. Fakat bunların yanı sıra tıbbi kuruluşları, petrol ve nakliye şirketlerini de amaç alıyor.

Benzer bir mağduriyet ve yaygın “OwlProxy” varyantının kullanılması nedeniyle Kaspersky uzmanları, makûs niyetli IIS modülünün, casusluk operasyonlarının bir kesimi olarak GELSEMIUM tehdit aktörü tarafından kullanılmış olabileceğini düşünüyor.

Kaspersky Global Araştırma ve Tahlil Takımı Kıdemli Güvenlik Araştırmacısı Pierre Delcher, şunları söylüyor: “Exchange sunucularındaki güvenlik açıklarından yararlanma, 2021 yılının birinci çeyreğinden bu yana hedeflenen altyapıya girmek isteyen siber hatalıların gözdesi oldu. Bu, bilhassa uzun müddettir fark edilmeyen bir dizi siber casusluk kampanyasını mümkün kıldı. Yakın vakitte keşfedilen SessionManager, bir yıl boyunca zayıf bir formda algılandı. Devasa ve gibisi görülmemiş sunucu tarafı güvenlik açığı istismarıyla karşı karşıya kalan siber güvenlik aktörlerinin birden fazla, tespit ettikleri birinci ihlalleri araştırmak ve bunlara cevap vermekle meşguldü. Sonuç olarak bununla ilgili berbat niyetli faaliyetleri aylar yahut yıllar sonra keşfetmek hala mümkün ve bu muhtemelen uzun bir müddet bu türlü devam edecek.”

Delcher, ayrıyeten şunları ekliyor: “Gerçek vakitli yahut yakın vakit evvel gerçekleşmiş siber tehditlere ait görünürlük kazanmak, şirketlerin varlıklarını muhafazaları açısından çok değerlidir. Bu tıp akınlar değerli mali yahut prestij kayıplarına neden olabilir ve amacın operasyonlarını kesintiye uğratabilir. Tehdit istihbaratı, bu çeşit tehditlerin emniyetli ve vaktinde iddia edilmesini sağlayan tek bileşendir. Hele Exchange sunucuları kelam konusu olduğunda bunu ne kadar vurgulasak az: Makûs niyetli niyet ne olursa olsun, geçen yılın güvenlik açıkları onları kusursuz amaçlar haline getirdi. Bu nedenle şimdi yapılmadıysa Exchange sunucuları dikkatlice denetlenmeli ve bilinmeyen implantlar açısından izlenmeli.”

Kaspersky eserleri, SessionManager dahil olmak üzere birçok berbat hedefli IIS modülünü algılayabiliyor.

SessionManager’ın çalışma tarzı ve amaçları hakkında daha fazla bilgi edinmek için Securelist adresini ziyaret edebilirsiniz.

İşletmelerinizi bu cins tehditlerden korumak için Kaspersky uzmanları ayrıyeten şunları önermektedir:

• Açıkta kalan IIS sunucularında (özellikle Exchange sunucularında) yüklü IIS modüllerini tertipli olarak denetim edilmeli ve IIS sunucu paketindeki mevcut araçlardan yararlanılmalıdır. Microsoft sunucu eserlerinde her büyük güvenlik açığı duyurulduğunda, tehdit avı etkinliklerinizin bir kesimi olarak bu tıp modülleri denetim etmelisiniz.
• Savunma stratejisi yanal hareketleri ve internete data sızmasını tespit etmeye odaklanmalıdır. Siber hatalı kontaklarını tespit etmek için giden trafiğe bilhassa dikkat edilmelidir. Datalar tertipli olarak yedeklenmeli ve acil bir durumda süratlice erişilebileceğinden emin olunmalıdır.
• Saldırganlar maksatlarına ulaşmadan evvel, saldırıyı erken evrelerde belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahliller kullanılmalıdır.
• Kaspersky Endpoint Security for Business (KESB) üzere, berbata kullanım tedbire, davranış algılama ve makûs hedefli aksiyonları geri alabilen bir düzeltme motoruyla desteklenen emniyetli bir uç nokta güvenlik tahlili tercih edilmelidir. KESB, siber hatalılar tarafından sistemden kaldırılmasını engelleyebilecek kendini muhafaza sistemlerine sahiptir.

Kaynak: (BYZHA) – Beyaz Haber Ajansı